Megosztás a következőn keresztül:


figyelt tevékenységek Microsoft Defender for Identity

Microsoft Defender for Identity figyeli a szervezet Active Directoryjából, hálózati tevékenységeiből és eseménytevékenységeiből származó információkat a gyanús tevékenységek észleléséhez. A figyelt tevékenységadatok lehetővé teszik a Defender for Identity számára, hogy segítsen meghatározni az egyes lehetséges fenyegetések érvényességét, és megfelelően osztályozza és válaszoljon.

Érvényes vagy valódi pozitív fenyegetés esetén a Defender for Identity lehetővé teszi az egyes incidensek biztonsági incidenseinek hatókörének felderítését, az érintett entitások kivizsgálását és azok elhárításának módját.

A Defender for Identity által figyelt információk tevékenységek formájában jelennek meg. A Defender for Identity jelenleg a következő tevékenységtípusok monitorozását támogatja:

Megjegyzés:

  • Ez a cikk minden Defender for Identity-érzékelőtípushoz kapcsolódik.
  • Az Identitáshoz készült Defender által figyelt tevékenységek a felhasználói és a gépprofil oldalán is megjelennek.
  • A Defender for Identity által figyelt tevékenységek Microsoft Defender XDR Speciális veszélyforrás-keresés oldalán is elérhetők.

Tipp

Az Advanced Hunting Identityhez kapcsolódó táblák összes támogatott eseménytípusával (ActionTypeértékével) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.

Figyelt felhasználói tevékenységek: A felhasználói fiók AD-attribútumának változásai

Figyelt tevékenység Leírás
A fiók korlátozott delegálási állapota megváltozott A fiók állapota mostantól engedélyezve van vagy le van tiltva a delegáláshoz.
Fiók által korlátozott delegálási SPN-k módosultak A korlátozott delegálás korlátozza azokat a szolgáltatásokat, amelyekre a megadott kiszolgáló a felhasználó nevében eljárhat.
Fiókdelegálás módosítva A fiókdelegálási beállítások módosítása.
Fiók letiltva Azt jelzi, hogy egy fiók le van-e tiltva vagy engedélyezve van-e.
A fiók lejárt A fiók lejáratának dátuma.
A fiók lejárati ideje megváltozott Módosítsa azt a dátumot, amikor a fiók lejár.
Fiók zárolva módosítva A fiókzárolási beállítások módosítása.
Fiók jelszavának módosítása A felhasználó megváltoztatta a jelszavát.
A fiók jelszava lejárt A felhasználó jelszava lejárt.
A fiók jelszava soha nem jár le, módosult A felhasználó jelszava úgy módosult, hogy soha ne járjon le.
A nem kötelező fiókjelszó módosítva A felhasználói fiók úgy lett módosítva, hogy üres jelszóval engedélyezze a bejelentkezést.
Fiók intelligens kártyája kötelezően módosítva Fiókmódosítások, amelyek megkövetelik, hogy a felhasználók intelligens kártyával jelentkezzenek be egy eszközre.
A fiók által támogatott titkosítási típusok megváltoztak A Kerberos által támogatott titkosítási típusok módosultak (típusok: Des, AES 129, AES 256).
A fiók zárolásának feloldása megváltozott A fiók zárolásának feloldására vonatkozó beállítások módosítása.
Fiók UPN-nevének módosítása A felhasználó egyszerű neve megváltozott.
Csoporttagság módosítva A felhasználót egy másik felhasználó vagy saját maga adta hozzá/távolította el egy csoportból vagy csoportból.
Felhasználói e-mail-cím módosítva A felhasználók e-mail attribútuma megváltozott.
Felhasználókezelő módosítva A felhasználó felettes attribútuma megváltozott.
Felhasználói telefonszám módosítva A felhasználó telefonszám attribútuma megváltozott.
Felhasználói cím módosítva A felhasználó címattribútuma megváltozott.

Figyelt felhasználói tevékenységek: Az AD rendszerbiztonsági tag műveletei

Figyelt tevékenység Leírás
Felhasználói fiók létrehozva A felhasználói fiók létrejött.
Számítógépfiók létrehozva A számítógépfiók létrejött.
A rendszerbiztonsági tag törölve lett A fiókot törölték/visszaállították (a felhasználót és a számítógépet is).
A rendszerbiztonsági tag megjelenített neve megváltozott A fiók megjelenítendő neve X-ről Y-ra módosult.
A rendszerbiztonsági tag neve megváltozott A fióknév attribútum megváltozott.
A rendszerbiztonsági tag elérési útja megváltozott A fiók megkülönböztető neve X-ről Y-ra módosult.
A rendszerbiztonsági tag Sam-neve megváltozott A SAM neve megváltozott (a SAM az operációs rendszer korábbi verzióit futtató ügyfelek és kiszolgálók támogatásához használt bejelentkezési név).

Figyelt felhasználói tevékenységek: Tartományvezérlőn alapuló felhasználói műveletek

Figyelt tevékenység Leírás
Címtárszolgáltatás replikációja A felhasználó megpróbálta replikálni a címtárszolgáltatást.
DNS-lekérdezés A tartományvezérlőn végrehajtott lekérdezésfelhasználó típusa (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY).
gMSA jelszólekérés A gMSA-fiók jelszavát egy felhasználó lekérte.
A tevékenység figyeléséhez a 4662-s eseményt kell összegyűjteni. További információ: A Windows-eseménygyűjtés konfigurálása.
LDAP-lekérdezés A felhasználó LDAP-lekérdezést hajtott végre.
Lehetséges oldalirányú mozgás Egy oldalirányú mozgást azonosítottak.
PowerShell-végrehajtás A felhasználó megkísérelt távolról végrehajtani egy PowerShell-metódust.
Privát adatok lekérése A felhasználó megkísérelte/sikerült lekérdezni a privát adatokat az LSARPC protokoll használatával.
Szolgáltatás létrehozása A felhasználó megpróbált távolról létrehozni egy adott szolgáltatást egy távoli gépen.
SMB-munkamenet számbavétele A felhasználó megpróbálta számba adni az összes olyan felhasználót, aki nyitott SMB-munkameneteket futtat a tartományvezérlőkön.
SMB-fájl másolása A felhasználó az SMB használatával másolt fájlokat.
SAMR-lekérdezés A felhasználó SAMR-lekérdezést hajtott végre.
Tevékenységütemezés A felhasználó megpróbálta távolról ütemezni az X feladatot egy távoli gépre.
WMI-végrehajtás A felhasználó megkísérelt távolról végrehajtani egy WMI-metódust.

Figyelt felhasználói tevékenységek: Bejelentkezési műveletek

További információ: A tábla támogatott bejelentkezési típusaiIdentityLogonEvents.

Monitorozott gépi tevékenységek: Számítógépfiók

Figyelt tevékenység Leírás
A számítógép operációs rendszere megváltozott Váltson a számítógép operációs rendszerének módosítására.
SID-History módosult A számítógép SID-előzményeinek módosítása.

Lásd még